「wget」とそのオプションを使用すると発生する可能性がある脆弱性があるかどうか疑問に思います。特に、ベンチマークスクリプトを使用してVPSパフォーマンスをテストしました。コマンドは次のとおりです。
wget -qO- bench.sh | bash
-q0-の機能を知っていますが、コマンドの最後に「bash」パラメーターを記述するリソースが見つかりませんでした。
ベストアンサー1
次のコマンド
wget -qO- bench.sh | bash
「bench.shからファイルをインポートしてbash実行」を意味します。
これは実際には次のとおりです。
wget -q -Otestfile bench.sh
bash testfile
ただし、一時ファイルは必要ありません。
したがって、ダウンロードして実行するだけです。信頼できないパスワード。今日はファイルをダウンロードして「不愉快な」コマンドを確認できますが、明日もまだきれいでしょうか?それとも翌日?
これはセキュリティの問題ですか?潜在力がある。
bench.shを実行している人をどれだけ信頼しているのか、誰かがサーバーに侵入して不正な変更を試みる可能性がどれだけあるかを確認する必要があります。また、接続はパススルー接続なhttpので、「中間者」攻撃を受ける可能性があり、コンピュータに転送されるデータが変更されることがあります。
個人的には、私はこのようにスクリプトを実行しません。しかし、そうする人がたくさんいます。